加强企业全面风险管理体系建设的有效策略探讨

黄莉萍 匡华山 孟 新

（株洲中车时代电气股份有限公司，湖南 株洲 412001）

党的十九大将防范化解系统性风险作为决胜全面建成小康社会三大攻坚战的首要战役。国务院国资委要求各企业要全面贯彻落实党中央、国务院决策部署，坚持稳中求进工作总基调，牢固树立风险管理意识，切实落实主体责任，坚持标本兼治、综合施策，不断完善风险管理体系，有效提升风险管理水平，严守不发生重大经营风险的底线。

一、企业全面风险管理存在的问题

（一）风险管理制度体系不完善

企业未根据自身实际情况变化制定匹配企业发展阶段特征、符合企业内部管理需求的风险管理制度，造成制度覆盖业务不全面、制度内容有缺失、未考虑下属分子公司的业务场景和管理需求、制度执行不畅等问题，如可能存在缺乏重大事项的风险管控制度、重大经营风险事件报告机制、风险预警机制等。其结果是制定的相关制度不够全面，仅适用于普遍性问题的防控，制度对于不同分子公司和特定事项的适用性存在不足。

（二）风险管理组织体系不健全

部分企业未形成基于集团管理体系的风险管理组织，具体表现为董事会虽设置了风险管理委员会，但风险管理委员会职能虚化，未有效承担风险管理顶层设计和重大风险决策的职责；部分企业存在未建立适当的审计风控组织机构或明确承担审计风控职责的内部机构，未配备专职审计风控人员，无法有效发挥审计监督及风险管控的作用。完善的风险管理组织体系应当是风险管理委员会、企业风险管理机构及下属分子公司风险管理机构三层架构，并做到分工明确，才能够防范和化解风险。

（三）风险管理三道防线机制未有效落实

按照风险管理三道防线的要求，企业的业务部门（单元）作为风险管理的第一道防线，能够最直接与风险源接触，在业务开展过程中应具备风险意识，充分识别风险并有效应对，将风险管控与日常工作有机融合，实现风险的事前管控；企业的业务归口管理部门作为企业风险管理的第二道防线，对专业风险（如公司战略风险、市场风险等）的归口管理职责要落到实处，实现风险的事前预防、事中控制；审计部门作为第三道防线，对第一、第二道防线的工作进行事后检查、审计和监察。实际上，大部分企业对风险三道防线机制的理解不够深入，落实不够到位，三道防线的作用发挥不够充分，存在“第一道防线不够牢，第二道防线不够实，第三道防线不够严”的现象。

（四）对重大事项的风险管控有待加强

由于部分企业对风险管理的职能定位不够高，对风险管理工作不够重视，内部风险管理机构无法充分参与到企业的业务决策和管理中，工作以开展日常的风险管理为主，包括日常风险排查、风险辨识及应对、风险信息收集等工作，对重大事项的风险管控未涉及或涉及较少，未开展有效的事前风险管控和风险识别，导致重大事项的风险管控不够精细和专业，企业对重大经营事项的风险管控处于上下脱节状态，即重大风险事项直接从业务层传递到高层决策，未充分发挥作为上下衔接中间桥梁的内部风险管理机构的专业优势，如重大项目的事前风险评估评审走过场、重大经营事项的风险报告未及时报告、重大风险化解工作未有效开展等。

（五）风险预警工作实施不到位

风险预警作为管控企业风险的重要手段，其内涵是企业为实现战略与经营目标，在风险管理活动中，设立预警指标并制定预警应急措施，对企业经营活动进行适时监测，预先发出风险警示，采取应对措施并及时纠偏。由于风险预警工作对企业的风险管理水平提出了较高的要求，要求企业具备开展风险预警工作的条件（如相关硬件设施、充分准确的风险预警数据、具备风险技术能力的专业风险管理人员等），使得部分企业无法实现有效的风险预警，存在风险预警工作未开展，或风险预警工作与指标设置及考核工作合并开展，或者风险预警工作分散到各个管理部门分头开展而未实现统一管控、风险预警指标设置以定性为主而缺乏定量的评价指标实现动态监控企业风险等问题，导致风险预警工作实施不到位。

（六）风险管理信息化工作推进滞后

随着数字经济时代的到来，业务信息化、数字化、网络化和IT技术也不断发展，但大部分企业的风险管理还停留在手工阶段，主要存在以下问题：暂未实现风险识别、评估、应对及跟踪的信息化管理；识别出的风险控制点主要体现在相关手册或制度中，暂未在信息系统的业务流程中进行固化执行；进行了部分风险控制点的信息化固化但覆盖不够全面，也未及时进行更新增补，严重影响风险管控效率和效果。

二、完善全面风险管理体系的有效策略

（一）完善风险管理组织体系

应结合企业及下属分子公司的经营管理情况，借鉴标杆公司的管理实践，建立符合企业发展的分层分类的风险管理组织体系（示例见图1）。以完善企业治理结构、控制企业风险为目标，在董事会下建立风险管理委员会，明确风险管理委员会对企业风险的决策、审核、监督的集中管理职责；按照企业组织架构设置情况，建立分层风险管理机构，如可分别建立总部及下属分子公司的风险管理部门（根据企业经营需求，设置专职风险管理机构或明确由某机构承担风险管理职能），明确职责分工以及上下级的指导和报告关系；在同一组织层级，建立分类风险管理机构，即按照风险类别明确专项风险归口管理部门，如研发类风险由技术管理部负责归口管理，法律类风险由法务部门负责归口管理，厘清风险管理部门与专项风险归口管理部门之间的职责分工及关系；在下属分子公司，配置专兼职的风险管理人员，落实风险管理部门的要求并开展具体风险管理工作。特别是产供销业务齐全的分子公司，根据企业产值规模及经营需要，应设置专职的风险管理岗位，全面开展风险管控和监督工作。

图1 风险管理组织设置

（二）健全和优化风险管理制度体系

企业应当按照外部监管机构的管理要求并结合企业战略与经营实际，明确风险管理工作的主要领域，搭建分层分类的风险管理制度体系，制定全面风险管理手册，确定风险管理指导方针，系统梳理公司风险管理的程序及要求，明确公司风险偏好、风险承受度及风险管理的有效性标准；按照风险管理的业务范围梳理风险管理基础制度清单，确定具体管理内容及要求；按照风险类别制定专项风险管理指引或指南，明确专项风险的管控原则、管控流程和方法，以及操作的具体表单模版、工具等。风险管理制度架构示例见表1。

表1 风险管理制度架构

（三）细化风险分类并完善风险数据库

结合企业经营管理的精细度及资源配置情况，将企业风险分为三级。按照企业的业务及管理范围，其中一级风险划分为战略、市场、技术、运营、财务、法律六大类；依据风险属性归类，划分公司二级风险与三级风险。

在风险分类明晰的基础上，确定风险信息收集的渠道、要求等，开展风险信息及风险相关政策、法律及规章的收集，并纳入风险数据库进行统一管理；结合日常风险排查及年度风险评估，系统辨识企业各业务领域及各分子公司（含境外）面临的风险，对识别出的风险开展定性（量）的分析，评价风险对企业战略经营目标的影响，提出风险管控及应对措施，形成风险数据库，并根据风险状态的变化及时开展风险数据库信息更新和维护工作，定期进行风险管控状态的监督检查，确保风险数据库信息的准确性和有效性。

（四）推进风险预警体系建设并组织实施

为了有效防范和控制风险，确保企业战略目标和经营目标的顺利实现，企业应建立并推进风险预警体系建设。针对不同业务领域开展风险预警指标设计、确定风险预警指标计算公式、预警标准值及警戒值的选取、明确预警方式（绿色、黄色、红色）以及预警频率等；开展风险预警工作，可采用手工模式进行风险预警，也可结合企业信息化程度，将风险预警指标嵌入SAP、PLM、SRM等信息系统进行半自动化的预警；在风险预警指标达到相应的预警级别时，应根据不同级别的处置要求上报相关部门或管理层并处置，组织开展原因分析并推进纠偏工作，确保尽快解除风险预警信号。

（五）建立重大项目风险评价机制

为加强重大经营风险的事前管控，防范企业经营风险，企业对重大项目（包括但不限于固资投资、长期股权投资、改革改制重组、重大境内外合同、股权变更等）进行可行性研究时同步开展风险评估，形成专项风险评估报告，并由企业风险管理部门组织开展专项风险评价工作，形成风险评价意见，为公司领导最终决策提供参考，确保风险可控、科学决策；重大项目风险评估结论及评审意见也可作为开展重大项目后评价的重要评价内容之一，以客观评价重大项目的目标达成与否以及风险管控情况。

（六）加强对重大经营风险事件的管控

对重大经营风险采取集中、分层、分类管理，即风险管理部门负责重大经营风险事件的汇总、评审确定和报告，并进行集中管理；同时依据风险事件预计损失额度，建立企业总部和分子公司两级风险事件库，进行分级管理；各专项风险管理部门根据工作职责对重大经营风险事件进行分类管理。各分子公司按季度开展重大经营风险事件评估，按照重大风险季度跟踪监测的要求逐级上报，并实行零报告制度。对达到企业相应风险敞口额度标准要求的重大风险列为重大风险化解事件，按照“一项目一方案”的思路，单独建立风险档案，配置专门化解工作团队推进风险化解工作，定期沟通汇报风险化解进展，减少风险损失。

（七）加强风险管理文化建设

进一步明确风险管理组织职责，落实三道防线建设要求；通过对现有风险管理机制与制度结合新政策和以往运营经验进行优化完善，强化风险管理工作本身的措施、考核和运营工作，提升业务部门/单元对风险的重视程度，形成事前识别评估、事中监测预警、事后处置报告的全流程合规风控机制，推进风险管理三道防线建设。

（八）推进风险管理信息系统的建设

推进风险管理信息化系统建设，实现全员、全过程的风险管理，通过信息化落实全面风险管理体系提升的成果。风险管理信息化系统可包括：（1）风险管控基础应用平台，可实现风险信息收集、辨识、分析、评价、应对以及专项风险评估等功能，并形成风险数据库和风险案例库，便于包括风险管理人员在内的各级决策人员在对风险加以考虑的情况下作出更为审慎的决策，相应产生更大的经济效益；（2）风险信息管理平台，可实现风险预警指标报送与监测、指标预警处置、指标分析等管理，实现风险预警信息化；（3）风险项目管理平台，实现风险项目计划编制、项目进展跟进、项目完成情况总结等；（4）风险闭环管理，风险管理信息化系统还可通过赋予授权人员的相应权限，实现风险信息的收集整理分析与评价预警相结合的自动化处理，并提出风险应对方案，匹配资源（包括预算及人员），落实解决风险事件并实现闭环管理。

三、结语

全面风险管理作为企业治理体系的有机组织部分，在企业经营管理过程中发挥着重要作用。为有效应对外部环境变化，实现企业经营管理目标，企业应不断优化和完善全面风险管理体系，筑牢风险管理“三道防线”，系统性提升企业风险管控能力，强化风险预防及过程管控，充分识别重大风险隐患，有效化解重大经营风险，确保企业健康、持续发展。